E-Mail ist vom Grundsatz her unverschlüsselt und hat in etwa den Sicherheitsstandard einer Postkarte. Niemand würde wohl vertrauliche Informationen auf eine Postkarte schreiben und diese per Post absenden. Dennoch tun es viele Leute bei E-Mails. Man könnte jetzt argumentieren, E-Mails werden seit einiger Zeit verschlüsselt übertragen. Das ist zwar richtig, es betrifft aber nur die Übertragung von einem Computer zum anderen. Beim Versand einer E-Mail sind mindestens der Rechner des Absenders, der Rechner beim Provider des Absenders, der des Providers auf der Empfänger-Seite und der Rechner des Empfängers beteiligt. Es kann aber auch sein, dass die E-Mail auf ihrem Weg noch über mehrere Knotenpunkte geleitet wird. Dabei ist die E-Mail zwar beim Transport von Rechner zu Rechner verschlüsselt (etwa bei der Verwendung von TLS), aber nicht auf dem jeweiligen Knotenpunkt und auf dem Server des Providers bei Absender und Empfänger selbst. 

Echte Sicherheit (zumindest nach aktuellem Stand der Technik) gibt es nur bei der Verwendung einer Ende-zu-Ende-Verschlüsselung, wie sie beispielsweise S/MIME bietet. Der Anhang in meiner E-Mail ist mein Public Key, mit dem Nachrichten an mich sicher verschlüsselt werden können. Wie das genau geht behandeln wir in einem weiteren Beitrag.

Weitere Informationen dazu sind auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu finden.